『詐欺メール』「【要返信】さくらインターネット会員ご登録情報について」と、来た件

ユーザーがレンタルサーバー会社を騙るお話
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
 

「さくらインターネット」は最近のトレンド

今朝の第一弾は、さくらインターネットになりすました詐欺メールです。

発信元は「さくらインターネットabuse対策チーム」とされています。
「abuse」とは「不正使用」や「乱用」を示すので、その対策チームを騙っています。
因みに会社的にも個人的にも「さくらインターネット」さんとは全く関りがありません(笑)

それと、最近の詐欺メールのトレンドは「さくらインターネット」。
ここ最近の過去エントリーを見ても、「さくらインターネット」さんのユーザーによる
フィッシング詐欺メールが非常に多く見つかっていますので、この会社名には敏感になって
います。
きっとこのメールもその「さくらインターネット」の仕業に決まっています!


やっぱりコイツか

件名は
「[spam] 【要返信】さくらインターネット会員ご登録情報について」
行頭に”[spam]”とスパムスタンプが付加されているので、悪意のあるメールだと一目で
分かりますね。
これは、うちの受信サーバーに備わったセキュリティーフィルターによるものです。

差出人は
「”さくらインターネット” <wzyey@sakura.ad.jp>」
「さくらインターネット」は大手レンタルサーバー会社さん。
sakura.ad.jp”はその「さくらインターネット」さんの正規ドメイン。
でも、このメールは既に詐欺メールと判断されていますから偽装です。

ではその偽装をメールをヘッダーソースから解析してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<wzyey@sakura.ad.jp>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<63825D5CD6849F22775A99C500A211C5@sakura.ad.jp>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。
ここも偽装可能で鵜呑みにはできません。

Received:「from sakura.ad.jp (unknown [163.43.129.20])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう!

ほらほら、やっぱりそうじゃん。
「SAKURA Internet Inc.」って書いてある。
最近の詐欺メールはコイツばっかりし…(-_-メ)

リンク先を覗いてみると「さくらインターネット 会員認証」ってページが開きました。

本物の「さくらインターネット」の認証ページを確認してみましたが、全く見分けのつかない
ページでした。


私が「不正使用」を?

最近このパターンばっかりでつまらないんですが、一応本文も確認してみます。

■ご連絡日 [2021-10-03]

平素は弊社サービスをご利用いただき、誠にありがとうございます。
さくらインターネットabuse対策チームでございます。

ご登録いただきました以下の会員IDについて、登録の住所を確認できる
身分証明書のコピーをご提示いただけますでしょうか。

また、大変申し訳ございませんが、ご契約中のサービスに対しては、
利用の制限(通信の停止)を行っております。
こちらについては、ご本人様の確認が取れ次第解除させていただきます。

▼期限
2021/10/7 まで

▼こちらの内容もご確認ください
期限後に弊社にてご登録情報に虚偽があると判断した場合には、
弊社基本約款第22条(当社による利用契約の解除)に基づき、
お申し込みのサービスすべてと会員IDに対して、
契約解除措置を取らせていただく場合がございますので、予めご了承ください。

 

正しいご登録でのご利用を弊社ではお願いしております。以下もご参照ください。

「abuse対策チームでございます」と書かれています。
先にも書きましたが、”abuse”は「不正使用」や「乱用」の意味。
この本文をツラツラと読み進めると、「身分証明書を提示」を求めており、さらには
「利用の制限(通信の停止)を行っております」とまで書かれていますので
こちらが何か悪さをしたかように思えますね。
本当に「さくらインターネット」さんのユーザーだったらかなり焦ると…
ただ「ご登録いただきました以下の会員IDについて」と書いてある割に本文内に”会員ID”
なんて見当たりません。
こう言うところが1本抜けてたりするのも詐欺メールですね(笑)

さて、リンク先を解析するのですが、どうせIPアドレスの割り当て地は隣国の詐欺サイト
マンション内に決まっています。

一応、儀式的に確認してみますね。

ではここに使われている”sakura-ad-sakurainfo.cn”って中国トップレベルドメインが
使われているこのドメインの持ち主とその割り当て先を確認してみます。

いつもと同じ人物いつもと同じ割り当て地。
隣国「京畿道(キョンギドウ)安養市(アニャンし)」。。。
やるまでないんだけど…(^-^;


まとめ

最近マジで「さくらインターネット」ユーザーが発した詐欺メールばっかり。
こういうのって「さくらインターネット」さん側で何か対策できないんでしょうか?
全く困ったものです。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メールカテゴリの最新記事